Ouverture de fenêtre cmd

Aide à la désinfection pour supprimer les virus, adwares, ransomwares, trojans.

Modérateurs : Mods Windows, Helper

laurent38387
newbie
newbie
Messages : 14
Inscription : 05 mai 2017 15:32

Ouverture de fenêtre cmd

Message par laurent38387 » 05 mai 2017 15:40

Bonjour,

suite à de nombreuses tentatives pour dévéroler mon PC, je fais appel vous.
J'ai chopé une m**** qui m'a installé pas mal de malware (un enchainement d'installation comme j'ai jamais vu :hourra: )

bref au bout d'une heure de combat, j'ai réussi à tout enlever (plus rien dans les programmes, dossiers, rien avec adwcleaner, malwarebytes, roguekiller et mon antivirus)

au bout de quelques jours, je me suis aperçu qu'un CMD s'ouvrait de temps en temps.
Je suis donc je suis reparti dans mes recherches.
J'ai donc passer en tout :
- AdwCleaner, RogueKiller, Malwarebytes Anti-Malware (MBAM ), ZHPCleaner, JRT, rkill et spyhunter qui est payant mais qui m'a permis de cibler les problèmes
- fait le tour des dossiers sur C, prog files, windows, appdata et supprimer les fichiers suspects
- fait le tour de la base de registre et supprimer les clés suspectes, vérifier le Run
- j'ai trouvé un script dans system32 qui se connectait à un cloud pour certainement récupérer des fichiers
- trouvé un dossier insist sur C qui revient au bout d'un moment avec un fichier detecté par l'antivirus
- trouvé un dossier phtpruger qui se met dans prog files avec à l'intérieur un exe snarer
- regardé et supprimé des services (j'ai trouvé snarer dedans)
- chercher dans les taches planifiées (mais pas trouvé grand chose)

et je suis à bout :x
du coup j'ai une dll qui s'appelle kitty qui revient dans mon dossier appdata, le dossier phtpruger qui revient (je crois que le problème s'appelle winsnare ou snare), et un dossier insist qui se met sur C.
Et maintenant RogueKiller me trouve winsnapsvc et shareaza en les supprimant mais ils reviennent

Voila une idée?

Avatar de l’utilisateur
angelique
Geek à longue barbe
Geek à longue barbe
Messages : 27076
Inscription : 28 févr. 2008 14:58
Localisation : Breizhilienne à l' 0u3st
Contact :

Re: virus qui me fait transpirer

Message par angelique » 05 mai 2017 15:55

Bonjour,
  • Télécharge sur ton Bureau pas ailleurs FRST.EXE:



    La page de téléchargement : le tutoriel FRST




    !! Placez le programme sur le bureau et pas ailleurs!!
  • Exécute FRST.EXE, accepte le disclaimer , Cochez tous les options et cliquez sur le bouton Scan.
    Le scan se lance, les éléments scannés apparaissent en haut.
  • Une fois le scan terminé, une popup vous le signale et deux rapports sont générés : FRST.txt et Addition.txt ( Ces deux rapports se trouvent sur le bureau avec le programme FRST. )


    Utilise le site http://pjjoint.malekal.com/ pour envoyer ton rapport, et poste le lien dans ta prochaine réponse pour analyse.
Avec Gnu_Linux t'as un Noyau ... avec Ѡindows t'as que les pépins
http://angelik.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Ne soyez pas Rat!
Image
---------------------------------------------------------------------------------------------------------------------
ZIK.:: R00tsL3gacy Reggae141.com
ZIK.:: LaGr0sseRadi0


Avatar de l’utilisateur
angelique
Geek à longue barbe
Geek à longue barbe
Messages : 27076
Inscription : 28 févr. 2008 14:58
Localisation : Breizhilienne à l' 0u3st
Contact :

Re: virus qui me fait transpirer

Message par angelique » 05 mai 2017 17:33

Bah écoute, tu as du pal bosser dessus car les rapports paraissent corrects !


  • Ouvre le bloc-notes : Menu Démarrer / Tous les programmes / Accessoires et Bloc-Notes. (ou executer➫notepad)
    Copie/colle dedans ce qui suit :

    Code : Tout sélectionner

    Task: {7D365EA3-B04B-45F4-AFDF-B5C25BC110A3} - \Dehurycoersiward -> Pas de fichier <==== ATTENTION
    Hosts:
    EmptyTemp:
    
    
  • Menu Fichier / Enregistrer-sous
    Place toi sur le bureau.
    Dans le champs en bas, nom du fichier mets : fixlist.txt
    Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.
  • Ferme toutes les applications, y compris ton navigateur
  • Double-clique sur FRST.exe
    Image Sous Vista, Windows 7, 8,10, etc.... il faut lancer le fichier par clic-droit ➫ Exécuter en tant qu'administrateur
    Sur le menu principal, clique une seule fois sur Corriger/Fix et patiente le temps de la correction


    Un redémarrage peut être nécessaire (pas obligatoire).
  • L'outil va créer un rapport de correction Fixlog.txt. Poste ce rapport dans ta réponse avec ton commentaire si c'est mieux !
Avec Gnu_Linux t'as un Noyau ... avec Ѡindows t'as que les pépins
http://angelik.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Ne soyez pas Rat!
Image
---------------------------------------------------------------------------------------------------------------------
ZIK.:: R00tsL3gacy Reggae141.com
ZIK.:: LaGr0sseRadi0

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 85029
Inscription : 10 sept. 2005 13:57
Contact :

Re: virus qui me fait transpirer

Message par Malekal_morte » 05 mai 2017 17:44

laurent38387 a écrit :
05 mai 2017 15:40
au bout de quelques jours, je me suis aperçu qu'un CMD s'ouvrait de temps en temps.
Voir : https://www.malekal.com/supprimer-fenet ... e-windows/
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

laurent38387
newbie
newbie
Messages : 14
Inscription : 05 mai 2017 15:32

Re: virus qui me fait transpirer

Message par laurent38387 » 05 mai 2017 23:41

bon ben pour l'instant pas de changement PDT_041
c'est revenu
on m'a conseillé adsfix aussi qui m'a supprimer encore des choses mais cette merde revient toujours

Avatar de l’utilisateur
angelique
Geek à longue barbe
Geek à longue barbe
Messages : 27076
Inscription : 28 févr. 2008 14:58
Localisation : Breizhilienne à l' 0u3st
Contact :

Re: virus qui me fait transpirer

Message par angelique » 06 mai 2017 10:09

Faut que tu fasses les rapports frst.txt et addition.txt quand l'infection est là.
Avec Gnu_Linux t'as un Noyau ... avec Ѡindows t'as que les pépins
http://angelik.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Ne soyez pas Rat!
Image
---------------------------------------------------------------------------------------------------------------------
ZIK.:: R00tsL3gacy Reggae141.com
ZIK.:: LaGr0sseRadi0

laurent38387
newbie
newbie
Messages : 14
Inscription : 05 mai 2017 15:32

Re: virus qui me fait transpirer

Message par laurent38387 » 06 mai 2017 15:00

le problème est que ça arrive quelque fois dans la journée mais que mon antivirus le vire direct
Il faudrait que je laisse mon pc allumé et que je regarde de temps en temps si le fichier est présent

c'est pas possible de trouver la tache planifiée ou le programme qui télécharge les fichiers?

Avatar de l’utilisateur
angelique
Geek à longue barbe
Geek à longue barbe
Messages : 27076
Inscription : 28 févr. 2008 14:58
Localisation : Breizhilienne à l' 0u3st
Contact :

Re: virus qui me fait transpirer

Message par angelique » 06 mai 2017 16:22

j'ai effectivement omis 2 tâches planifiées, peut être la cause !
  • Ouvre le bloc-notes : Menu Démarrer / Tous les programmes / Accessoires et Bloc-Notes. (ou executer➫notepad)
    Copie/colle dedans ce qui suit :

    Code : Tout sélectionner

    Task: {1C0BB52F-7B39-4D58-999D-DA0C4A8D0CF3} - System32\Tasks\Microsoft\Windows\GroupPolicy\{A7719E0F-10DB-4640-AD8C-490CC6AD5202}
    Task: {5CD327EC-57CE-4C4E-B99B-0C1DD4AD7D18} - System32\Tasks\Microsoft\Windows\GroupPolicy\{3E0A038B-D834-4930-9981-E89C9BFF83AA}
    Hosts:
    EmptyTemp:
    
    
  • Menu Fichier / Enregistrer-sous
    Place toi sur le bureau.
    Dans le champs en bas, nom du fichier mets : fixlist.txt
    Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.
  • Ferme toutes les applications, y compris ton navigateur
  • Double-clique sur FRST.exe
    Image Sous Vista, Windows 7, 8,10, etc.... il faut lancer le fichier par clic-droit ➫ Exécuter en tant qu'administrateur
    Sur le menu principal, clique une seule fois sur Corriger/Fix et patiente le temps de la correction


    Un redémarrage peut être nécessaire (pas obligatoire).
  • L'outil va créer un rapport de correction Fixlog.txt. Poste ce rapport dans ta réponse avec ton commentaire si c'est mieux !
Avec Gnu_Linux t'as un Noyau ... avec Ѡindows t'as que les pépins
http://angelik.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Ne soyez pas Rat!
Image
---------------------------------------------------------------------------------------------------------------------
ZIK.:: R00tsL3gacy Reggae141.com
ZIK.:: LaGr0sseRadi0

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 85029
Inscription : 10 sept. 2005 13:57
Contact :

Re: virus qui me fait transpirer

Message par Malekal_morte » 06 mai 2017 17:51

A passer tout et n'importe quoi comme logiciel, tu vas détraquer ton Windows.
Faut suivre cette page pour identifier la source : Comment tracer les ouvertures de cmd.exe
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

laurent38387
newbie
newbie
Messages : 14
Inscription : 05 mai 2017 15:32

Re: Ouverture de fenêtre cmd

Message par laurent38387 » 08 mai 2017 23:36

Re

Ce virus se fout de ma g****
mon antivirus détecte directement les fichiers et les suppriment. Donc impossible de faire un fichier log dans ce cas la
Du coup j'ai laissé une journée mon PC allumé en désactivant mon antivirus et en regardant régulièrement si les fichiers étaient présent mais RIEN DU TOUT!!

ce soir je me sers de mon PC avec mon antivirus activé et paf ça revient
Sans titre.jpg
fichiers détectés
du coup plus d'ouverture de fenêtre CMD mais ça arrive quand même...
je vois pas ce qui pourrait faire ça sachant qu'il a l'air d'être clean (j'ai supprimer les taches planifiées angélique)

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 85029
Inscription : 10 sept. 2005 13:57
Contact :

Re: Ouverture de fenêtre cmd

Message par Malekal_morte » 08 mai 2017 23:58

fais déjà ce nettoyage,
ensuite si les popups CMD continuent de s'ouvrir, il faut suivre le tuto que j'ai donné qui explique comment tracer ces ouvertures.
C'est le seul moyen d'obtenir des informations et faire en conséquence.

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :

Code : Tout sélectionner

CreateRestorePoint:
CloseProcesses:
S2 WANARE; C:\Windows\System32\svchost.exe [38792 2014-10-29] (Microsoft Corporation)
S2 WANARE; C:\Windows\SysWOW64\svchost.exe [33088 2014-10-29] (Microsoft Corporation)
Task: {7D365EA3-B04B-45F4-AFDF-B5C25BC110A3} - \Dehurycoersiward -> Pas de fichier <==== ATTENTION
2017-05-05 14:55 - 2017-05-05 14:55 - 00408094 ____R C:\QuickDiag_05_05_2017_14_55_31.txt
2017-05-05 14:41 - 2017-05-05 14:55 - 00408094 ____R C:\Users\laguero\Desktop\QuickDiag_05_05_2017_14_55_31.txt
2017-05-05 14:41 - 2017-05-05 14:41 - 02780072 _____ (SosVirus) C:\Users\laguero\Downloads\QuickDiag.exe
2017-05-05 14:40 - 2017-05-05 14:55 - 00000000 ____D C:\QuickDiag
2017-05-05 14:25 - 2017-05-05 14:25 - 00000118 _____ C:\WINDOWS\system32\{A6D608F0-0BDE-491A-97AE-5C4B05D86E01}.bat
2017-05-05 14:24 - 2017-05-05 14:24 - 00000000 ____H C:\ProgramData\cm-lock
2017-05-05 14:20 - 2017-05-05 14:24 - 00000000 ____D C:\Users\laguero\AppData\Local\WANARE
C:\Users\laguero\Appdata\local\kitty
C:\Program Files (x86)\phtpruge
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:
Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

laurent38387
newbie
newbie
Messages : 14
Inscription : 05 mai 2017 15:32

Re: Ouverture de fenêtre cmd

Message par laurent38387 » 09 mai 2017 23:53

Code : Tout sélectionner

Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 08-05-2017
Exécuté par laguero (09-05-2017 23:17:00) Run:3
Exécuté depuis C:\Users\laguero\Desktop
Profils chargés: laguero (Profils disponibles: Utilisateur1 & laguero)
Mode d'amorçage: Normal
==============================================

fixlist contenu:
*****************
CreateRestorePoint:
CloseProcesses:
S2 WANARE; C:\Windows\System32\svchost.exe [38792 2014-10-29] (Microsoft Corporation)
S2 WANARE; C:\Windows\SysWOW64\svchost.exe [33088 2014-10-29] (Microsoft Corporation)
Task: {7D365EA3-B04B-45F4-AFDF-B5C25BC110A3} - \Dehurycoersiward -> Pas de fichier <==== ATTENTION
2017-05-05 14:55 - 2017-05-05 14:55 - 00408094 ____R C:\QuickDiag_05_05_2017_14_55_31.txt
2017-05-05 14:41 - 2017-05-05 14:55 - 00408094 ____R C:\Users\laguero\Desktop\QuickDiag_05_05_2017_14_55_31.txt
2017-05-05 14:41 - 2017-05-05 14:41 - 02780072 _____ (SosVirus) C:\Users\laguero\Downloads\QuickDiag.exe
2017-05-05 14:40 - 2017-05-05 14:55 - 00000000 ____D C:\QuickDiag
2017-05-05 14:25 - 2017-05-05 14:25 - 00000118 _____ C:\WINDOWS\system32\{A6D608F0-0BDE-491A-97AE-5C4B05D86E01}.bat
2017-05-05 14:24 - 2017-05-05 14:24 - 00000000 ____H C:\ProgramData\cm-lock
2017-05-05 14:20 - 2017-05-05 14:24 - 00000000 ____D C:\Users\laguero\AppData\Local\WANARE
C:\Users\laguero\Appdata\local\kitty
*****************

Le Point de restauration a été créé avec succès.
Processus fermé avec succès.
WANARE => service non trouvé(e).
WANARE => service non trouvé(e).
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{7D365EA3-B04B-45F4-AFDF-B5C25BC110A3} => clé non trouvé(e). 
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Dehurycoersiward => clé non trouvé(e). 
C:\QuickDiag_05_05_2017_14_55_31.txt => déplacé(es) avec succès
"C:\Users\laguero\Desktop\QuickDiag_05_05_2017_14_55_31.txt" => non trouvé(e).
"C:\Users\laguero\Downloads\QuickDiag.exe" => non trouvé(e).
C:\QuickDiag => déplacé(es) avec succès
C:\WINDOWS\system32\{A6D608F0-0BDE-491A-97AE-5C4B05D86E01}.bat => déplacé(es) avec succès
"C:\ProgramData\cm-lock" => non trouvé(e).
"C:\Users\laguero\AppData\Local\WANARE" => non trouvé(e).
"C:\Users\laguero\Appdata\local\kitty" => non trouvé(e).


Le système a dû redémarrer.

==== Fin de Fixlog 23:17:20 ====
j'avais trouvé un .bat dans les fichiers temporaires de appdata mais apparemment c'est pas ça

on dirait que tu en as trouvé un dans system32.
Je pense qu'il doit créer le service et une tache planifiée.

Avant de faire ce que tu m'as filé, j'ai retenté un nettoyage en mode sans echec. Du coup il manque les fichiers et service.
Si ça revient je repasse le fixlist?

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 85029
Inscription : 10 sept. 2005 13:57
Contact :

Re: Ouverture de fenêtre cmd

Message par Malekal_morte » 09 mai 2017 23:55

Pour trouver la source, il faut voir avec Process Monitor, ce qui l'ouvre.
voir le lien que j'avais donné : Comment tracer les ouvertures de cmd.exe
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 85029
Inscription : 10 sept. 2005 13:57
Contact :

Re: Ouverture de fenêtre cmd

Message par Malekal_morte » 11 mai 2017 15:32

Pour simplifier les choses avec Process Monitor, j'ai fait une vidéo, seconde partie :

(seconde partie)

Si c'est trop compliqué pour filtrer et avoir la partie cmd.exe avec les informations :
Tu laisses tourner et après qu'une fenêtre cmd se soit ouverture.
Menu File et Save.
Ca va enregistrer le rapport et tu le fais passer ici, par exemple via [http://pjjoint.malekal.com]
Je l'ouvrirai chez moi, ça devrait donner les infos qui vont bien pour comprendre ce qui ouvre ces fenêtres.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Répondre

Revenir vers « VIRUS : Supprimer/Desinfecter (Trojan, Adwares, Ransomwares, Backdoor, Spywares) »

Qui est en ligne ?

Utilisateurs parcourant ce forum : Aucun utilisateur inscrit et 3 invités